Winpcap分析 -- NPF_CreateDevice

最新推荐文章于 2023-10-22 21:46:24 发布
最新推荐文章于 2023-10-22 21:46:24 发布
阅读量902 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: WinpCap分析 文章标签: null extension string file 文档 api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huang_shao_bin/article/details/5296082
本文深入解析了NPF_CreateDevice函数,包括设备创建过程、符号链接生成逻辑及其涉及的关键API,详细介绍了函数内部如何进行设备名称验证、初始化与创建。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

NPF_CreateDevice:这个函数主要是创建设备,并为设备创建符号链接,这其中涉及到的标准API请参考wdk文档

  • 首先会对传递进来的设备名字做合法性判断:()

    if (RtlCompareMemory(amacNameP->Buffer, devicePrefix.Buffer,
        devicePrefix.Length) < devicePrefix.Length)
    {
        return FALSE;
    }

    NDIS_STRING devicePrefix = NDIS_STRING_CONST(//Device// )

  • 然后会对设备名字和符号链接名字做一系列的初始化,如分配空间,组合字符串等

    deviceName.Length = 0;
    deviceName.MaximumLength = (USHORT)(amacNameP->Length + g_NPF_Prefix.Length + sizeof(UNICODE_NULL));
    deviceName.Buffer = ExAllocatePoolWithTag(PagedPool, deviceName.MaximumLength, '3PWA');

    if (deviceName.Buffer == NULL)
        return FALSE;

    deviceSymLink.Length = 0;
    deviceSymLink.MaximumLength =(USHORT)(amacNameP->Length-devicePrefix.Length
        + symbolicLinkPrefix.Length
        + g_NPF_Prefix.Length
        + sizeof(UNICODE_NULL));

    deviceSymLink.Buffer = ExAllocatePoolWithTag(NonPagedPool, deviceSymLink.MaximumLength, '3PWA');

    if (deviceSymLink.Buffer  == NULL)
    {
        ExFreePool(deviceName.Buffer);
        return FALSE;
    }

    RtlAppendUnicodeStringToString(&deviceName, &devicePrefix);
    RtlAppendUnicodeStringToString(&deviceName, &g_NPF_Prefix);
    RtlAppendUnicodeToString(&deviceName, amacNameP->Buffer +
        devicePrefix.Length / sizeof(WCHAR));

    RtlAppendUnicodeStringToString(&deviceSymLink, &symbolicLinkPrefix);
    RtlAppendUnicodeStringToString(&deviceSymLink, &g_NPF_Prefix);
    RtlAppendUnicodeToString(&deviceSymLink, amacNameP->Buffer +
        devicePrefix.Length / sizeof(WCHAR));

  • 最后就是创建设备和符号链接

    status = IoCreateDevice(adriverObjectP,
            sizeof(DEVICE_EXTENSION),
            &deviceName,
            FILE_DEVICE_TRANSPORT,
    #ifdef __NPF_NT4__
            0,
    #else //__NPF_NT4__
            FILE_DEVICE_SECURE_OPEN,   
    #endif //__NPF_NT4__
            FALSE,
            &devObjP);

    IoCreateSymbolicLink(&deviceSymLink,&deviceName)

Ndisprot协议驱动和winpcapnpf协议驱动对比分析(1)
smilestone322的专栏
03-14 2014
Ndisprot协议驱动和winpcapnpf协议驱动对比分析
wireshark抓包报错The capture session could not be initiated on interface ‘\Device\NPF_Loopback‘
weixin_45525324的博客
03-31 1万+
wireshark抓包报错 The capture session could not be initiated on interface ‘\Device\NPF_Loopback’ (Error opening adapter: The system cannot find the path specified. (3)). 解决方法 以管理员身份运行cmd,输入net start npca...
NPF 函数
qinqijing198601的专栏
04-23 1084
NPF 函数 [WinPcap核心资料]   函数 NTSTATUS  DriverEntry (IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)   The initialization routine of the driver. PWC
NPF
weixin_30236595的博客
05-07 1786
NPF是一个协议驱动。从性能方面来看,这不是最好的选择,但是它合理地独立于MAC层并且有权使用原始通信 (raw traffic)。NPFWinpcap的核心部分,它是Winpcap完成困难工作的组件。它处理网络上传输的数据包,并且对用户级提供可捕获 (capture)、发送(injection)和分析性能(analysis capabilities)。 NIC驱动或中间层NDIS驱...
深度剖析WinPcap之(四)——WinPcap的体系架构(2)
理性的幻想
06-22 1378
本文转自http://eslxf.blog.51cto.com/918801/197410     1.3 WinPcap驱动内部说明 WinPcap的结构如图2-4所示,NPFWinPcap的组件,用来处理网络上传输的数据包,并对用户层导出数据包捕获、发送与分析的能力。下面将描述NPF与操作系统与其基础结构体的交互。 图2-4 NPF的结构 1.3.1 NPF与NDIS 网
WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源
10-03
此资料包“WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源”提供了这些技术的源代码,为开发者深入理解其工作原理和应用提供了宝贵的资源。 首先,让我们详细了解这三个核心概念: 1. **...
Winpcap-demo.rar_wincap demo_winpcap demo_winpcap firewa_winpcap
09-24
一个简单的Winpcap抓包示例程序,能显示多网卡信息,能分别数据链路层和网络层的报文信息
WinPcap-document.rar_winpcap
09-20
这个压缩包“WinPcap-document.rar_winpcap”包含了一份详尽的WinPcap中文技术文档,对于想要深入理解和应用WinPcap的开发者来说,是一份非常宝贵的资料。 一、WinPcap概述 WinPcap由意大利Politecnico di Milano...
WinPcap-study.rar_tdma_winpcap
09-24
WinPcap是一款强大的网络数据包捕获和网络分析工具,它是Windows平台上的一个开源库,为网络编程提供了一种高效、低级别的接口。WinPcap不仅允许开发者捕获网络数据包,还能过滤、存储和回放数据,是网络监控、安全...
WinPcap-using.zip_wincap_winpcap 发包
07-13
介绍利用wincap基础库进行网络抓包发包的编程
masscan.exe
11-28
masscan.exe已经编译好的压缩包,打开就能用。压缩包里有usage.txt使用方式。有需要的同学可以下载使用。
Packet32 打开网卡设备/写帧/读帧【帧:以太网格式】
liulilittle的博客
04-28 674
网卡设备ID格式为: \Device\NPF_{网卡名称},网卡名称可以通过 WINAPI “GetAdaptersInfo” 函数来获取,当然人们仍旧可以使用 Packet32 提供的 “PacketGetAdapterNames” 函数来获取,每个网卡之间使用 “/x0” 来做分隔符,结束标志位为某端两个“\x0”,用法简单就不再本文过多描述了。 PacketOpenAdapter 打开网卡设备 inline static LPADAPTER ethernet_open_device(c
Winpcap网络编程六之Winpcap学习教程,获取已安装设备的高级信息
静觅
10-08 5494
上一 我们展示了如何获取适配器的基本信息 (如设备的名称和描述)。 事实上,WinPcap提供了其他更高级的信息。 特别需要指出的是, 由 pcap_findalldevs_ex() 返回的每一个 pcap_if 结构体,都包含一个 pcap_addr 结构体,这个结构体由如下元素组成: 一个地址列表一个掩码列表 (each of which corresponds to an ent
PCAPNG文件格式详解——这一篇就够了!
最新发布
m0_53887937的博客
10-22 1万+
现今流行数据包格式pcapng详细介绍。
检测当前网卡是否处于混杂模式
辰枫的专栏
10-17 2708
实际上方法很简单,打开一个网卡设备,查询其全局统计信息(IOCTL_NDIS_QUERY_GLOBAL_STATS),然后判断相应的标志位(NDIS_PACKET_TYPE_PROMISCUOUS)是否设置,即可判断此网卡是否进入混杂模式。      首先还是枚举网卡ID,我这儿偷懒直接用WinPCap提供的PacketGetAdapterNames函数,获取网卡列表。WinPCap 3.x返回
bochs上网及配置
ya20151015的博客
11-15 4625
下载并安装bochs2.6:(不能是更高版本) 创建bochs 时注意勾选Dlx linux Demo,但是其文件bochsrc.bxrc中无Ne2k网卡选项,这一段要自己添加,详情见后。 先确定我们电脑里的真实网卡: 开始->程序->附件->命令提示符 DOS窗口下运行ipconfig /all 记住真实网卡是VIA 下载安装wincap,这个是bochs运行网卡要求的条件,它是
编译SOEM(Simle Open EtherCAT Master)-windows篇
云淡风轻
07-04 1万+
简介在windows下编译ethercat开源主站,以1.3.1为例准备 下载SOEM代码 从https://github.com/OpenEtherCATsociety/SOEM 或者 http://openethercatsociety.github.io/ 下载wincap 从 https://www.winpcap.org/ visualstudio 编译打开vs的命令行工具
WinDump用法---Win平台下的Tcpdump
07-05 164
WinDump使用提示 基本用法:windump [ -aBdDeflnNOpqRStvxX ] [ -c count ] [ -F file ] [ -i interface ] [ -m module ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -E algo:secret ] [ expression ]主要参数有选项和表...
计算机网络实验(Wireshark 抓包工具使用、WinPcap 编程、协议分析&流量统计程序的编写)
热门推荐
毕业作品网站
02-14 1万+
WinPcap 是一个基于 Win32 平台的,用于捕获网络数据包并进行分析的开源库;在 Linux 上也有对应的 LibPcap;目前 WinPcap 已经处于无人维护的状态,对于 Windows 10 有更新的且目前有人维护的开源项目 NpCap。大多数网络应用程序通过被广泛使用的操作系统元件来访问网络,比如 sockets——这是一种简单的实现方式,因为操作系统已经妥善处理了底层具体实现细节(比如协议处理,封装数据包等等工作),并且提供了一个与读写文件类似的,令人熟悉的接口;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值